应对Win7停服安全风险 信创产业打响护航战

本篇文章3101字，读完约8分钟

4月9日，由工信部网络安全产业发展中心和360集团联合主办的网络研讨会成功举行。本次研讨会的主题是“应对win7暂停服务的安全风险，创新产业发起护航战”。工业和信息化部网络安全产业发展中心总工程师童出席会议并讲话。工业和信息化部网络安全产业发展中心副主任李家伦、360集团首席安全官杜跃进、同心软件技术有限公司总经理刘、360集团研究员、安全工程研究院院长潘剑锋分别做了不同维度的专题讲座。

总工程师童指出，win7暂停事件已经成为业界舆论的焦点。国内学术界、产业界等各方积极响应，纷纷提出解决方案和策略。新创操作系统的发展已经进入了一个不容错过的黄金窗口。

抓住机遇，推进新创生态建设

在微软宣布win7将停止服务后，它将带来两个问题:新应用程序没有底层支持；随着时间的推移，新软件和新版本在win7系统上不能很好地运行。

李嘉伦强调:“这两个问题要求我们做好win7终端的安全工作，并制定一个操作系统更换计划。”

一方面，政府和行业需要进行干预，取代微软做好保护工作，包括加强对win7系统漏洞和病毒的监控和研究；为党、政府、军工企业甚至私人用户提供后续的非官方补丁和应急计划；优化系统安全配置，削减信息安全，制定基线配置，加强安全性等。

另一方面，为了解决根本问题，有必要制定替代方案并逐步淘汰win7系统。主要包括两个内容:

1.加快业务适应，使新创系统满足更多行业和场景的业务需求，特别是适应金融、国防、交通、通信、能源等重点行业系统和重点领域系统；

2.为了加强新创系统的安全防护能力建设，有必要为新创系统建立安全标准，建立安全基线，开发安全支撑软件，使新创系统具备应对复杂安全挑战的能力。

李嘉伦认为，以操作系统为核心的新技术创新生态建设已经走过了十年。因此，要抓住win7替换的历史机遇，进一步推进创新生态建设。

新创安全需要系统设计

无论winxp在2014年停产还是win7在2020年停产，在供应商停止更新后，大量用户系统都将面临巨大的未知漏洞攻击风险。例如，在win7停止服务的第二天，它发现了针对win7 0day漏洞的攻击。

2014年，通过举办“xp Challenge”，邀请尽可能多的安全人员对能够提供安全服务的产品进行攻击测试，以测试其防护能力。这也是win7可以借鉴的模式。

与此同时，随着创新产业生态的逐步形成，操作系统和数据库等关键创新产品开始得到广泛推广和应用。对于新创的软硬件产品而言，通过公开测试的方式发起关键产品挑战，发挥尽可能多的人发现产品安全问题的努力，可以促进新创软硬件产品的安全研究，保证新创用户的系统和应用安全。

然而，杜跃进认为，关键产品挑战只是解决了新创部分产品的安全性提升问题。随着智能、网络化和数字化时代的到来，无处不在的软件漏洞使得空网络的各个方面都变得极其脆弱。与此同时，网络空面临着日益军事化的国际形势和重建初期的信件创作行业状况。在我们对安全的误解、安全能力不足、缺乏实战和积累的情况下，字母创作行业将面临前所未有的安全威胁。提高单点防护能力是远远不够的，新创的安全性需要系统的设计。

新创安全系统设计的核心目标是经得起实战的考验。最基本的理念是:攻防视角、整体思维、统一调度、开放式运作和能力驱动。

新创系统包括cpu、固件、主板等底层硬件，以及操作系统、中间件、各种应用软件、安全软件等。，还包括最后一个用户和该用户承担的业务。因为软硬件系统有漏洞，攻击就会发生。新创的安全系统最终保护了重要的数据和业务安全，对软件和硬件产品的攻击只是手段，而不是最终目标。因此，新创安全系统除了软硬件产品的可信赖性、漏洞管理和安全保护之外，还需要解决如何保护核心业务和重要数据免受或最大限度减少软硬件系统受到攻击后的影响的问题。

从完整性和对抗性的角度来看，新创的安全体系包括五个层次的目标，即“两降三升”，即可信、安全、可控、可对抗和可生存。其中，“可信度”是指降低创新系统中各种要素“被证伪”的可能性；“安全”是指减少新创软硬件产品的漏洞和安全缺陷；“可控”是指增强应对和控制安全攻击的能力；“可对抗的”是指增强安全威胁的可追溯性、证据收集和威慑的能力；“可生存”是指增强核心业务的生存能力。

夺回在信息技术领域领先的最佳机会

从技术角度看，win7服务暂停后有三条路径:保留win7方案，考虑使用win10系统，替换新创系统的操作系统。

刘表示，更换新创操作系统的优势包括长期服务和没有供应中断的风险；系统安全的自主控制；没有流氓软件和弹出广告，所以要自信地使用它们；现有设备仍可使用，但存在一些问题，如使用习惯的改变、磨合的需要、一般应用领域的生态差距等。

对于用户来说，从win7到新创操作系统的迁移不仅是一般应用的迁移，也是业务系统的迁移。在研讨会上，刘重点介绍了两个业务系统的迁移情况。

首先，目前大多数业务系统采用b/s架构，b/s架构的业务迁移主要涉及b/s应用的前端迁移，包括三个方面:页面迁移开发，主要解决浏览器页面的兼容性问题；插件迁移和开发可能涉及activex控件问题；集成认证的迁移开发涉及usbkey登录、域认证等问题。

二是c/s架构的业务客户迁移，首先分析原有的应用开发技术，然后制定相应的迁移方案。例如，一些支持跨平台cs架构、基于java开发、甚至开发的客户端在新创操作系统上重新编译后仍然可以生存。此外，“深酒”可以用来应用兼容层技术，使软件在windows操作系统下可以直接运行。当然，这种情况下的迁移通常需要原始业务系统开发人员的合作。

刘说，在过去的两年里，从微软平台迁移到新创操作系统平台的成功案例很多。目前，替换主要有六个步骤:用户使用评估、迁移计划实施、技术准备、小规模试点、大规模推广以及缺失和遗漏。

“从长远来看，如果我们在这一阶段更换操作系统，那么用新创cpu硬件平台取代x86体系结构的障碍将随着未来的逐步淘汰而大大减少。”

他进一步解释说，虽然中国的信息产业也希望建立自己的软硬件系统，但很难同时更换软硬件系统。你可以先更换基本的软件和操作系统，然后再更换硬件，过程会更加顺利。

“在win7被禁赛后的替代者是我们在信息技术领域重新获得统治地位的最佳机会。如果我们错过了这次，我们可能还得再等10年。"

操作系统漏洞保护技术方案

操作系统漏洞是操作系统中最大的安全威胁，而0day漏洞攻击的发现和防护是网络空.之间的安全战场上最重要的决定点之一

在研讨会上，潘剑锋介绍了windows操作系统中二进制漏洞和利用攻击的现状，包括漏洞的类型、产生原因和利用方法。然后，分析了现代操作系统为解决这些漏洞而设计和使用的各种保护技术，包括cpu硬件提供的安全特性，操作系统利用硬件特性实现漏洞保护的方法，以及微软漏洞缓解机制emet和wdeg的能力和不足。

为了解决win7和最新win10等操作系统在服务暂停后出现0天/天漏洞的威胁，潘剑锋提出了一种新的漏洞保护机制——Omnivision 0天雷达系统，该系统可以在windows和家庭系统中使用。该产品在2019年世界互联网大会上获得了领先的科技成果。

该产品的体系结构分为三个部分:zdr漏洞防御终端系统、多维沙箱和智能决策系统。它的设计思想是分析漏洞在不同阶段的利用原理，包括漏洞的触发、利用和结束，在防御包括win7在内的系统漏洞方面非常有效。

毫无疑问，win7操作系统的暂停将使国内用户系统面临更高的安全风险，但这既是机遇也是挑战。面对困难和挑战，我们应该勇往直前，化困难为机遇，团结一致，支持信息技术应用创新。

来源：搜狐微门户